124 Membres 1218 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

DHCP inaccessible ?

Posée par Fighter 777 dans Administration

Bonjour,

 

J'ai un soucis du coté DHCP.

 

j'ai un point d'accès qui partage un réseau sur un vlan invité

le vlan transit à travers 2 switchs manageable puis arrive sur le pare-feu

jusque là tout va bien ..

 

j'ai fais une translation NAT du vlan vers internet, configuré le vlan sur l'interface qui va bien et pour 2 pcs différents, j'ai l'un des deux qui n'arrive pas à avoir une ip.


pourtant l'ip a l'air d'être bien envoyé d'après Stormshield RTM qui m'affiche d'ailleurs un mauvais Vlan mais la bonne plage ip du vlan en question

 

j'ai un NAT pour les multicast mais pas sure qu'il serve à quelque chose voir même passe avant la règle de filtrage ?

car j'ai des blocage de RFC 3330 dont je ne comprend pas la provenance (je suis censer l'avoir autorisé ...)

 

Merci d'avance,

Cordialement

Non résolue

regle qos pour mes dns

Posée par Mickael Bieque dans Administration

bonjour 

je possede un stomshield virtuel depuis peu.

Nous avons un tres bon debit , mais nous eprouvons des "latence" sur la resolution dns .

les dns sont bien configurés dans le stormshield .nenamoisn j ai vue sur la document qu il pouvait etre benefique de creer une qos pour les dns . mais cetta qos est a aplliquer a quoi , aux regle de nat que l on a creer ,a toute les regles ou a une regle specifique ? 

auriez vous un exemple de regle ? 

 

Résolue

Real-Time Monitor Stormshield

Posée par Henri Erre dans Administration

Bonjour,

J'ai récupéré un réseau avec un StormShield SN510 en production.

Mon premier reflex étant de connecter le RTM dessus et voici le message que j'ai :

J'ai beau être en local, VPN SSL ou même taper depuis l'adresse WAN rien à faire, j'ai essayé plusieurs comptes, admin ou pas, même chose ...

Les ports 443 et 1300 sont ouverts, j'avoue sécher ...

Merci de votre aide.

PS : Pour info le firmware est version 3.4.0

Résolue

MAJ Firmware SN710 de 1.x à 3.x

Posée par Fat Dam dans Administration

Bonjour,

J'envisage à maj la version firmware de nos SN710 à partir du 1.5.0 à 3.x

Je procéderai comme suivant:

1/ vers v2.11.0

2/ ensuite vers v3.5.2

Pourriez-vous me confirmer que ces versions sont stables et que le passage aboutira?

car Je n'ai pas de retour d'expériences sur ces versions.

Merci.

 

Non résolue

Lien MPLS et routage

Posée par Patrice Le Garff dans Administration

Bonjour,

Nous venons de relier nos deux sites distants par une liaison MPLS.
Ces deux sites sont équipés de parefeu Stormshield SNS et ont leur propre sortie Internet.
Je dois configurer sur chaque site une table de routage sur le pare-feu pour diriger les flux en fonction du sous-réseau :

Site A :
routage du sous-réseau local 192.168.0.0/24 vers sous-réseau 192.168.4.0/24 en passant par passerelle "Routeur site A VPN FAI" (192.168.0.XXX)
routage du sous-réseau local 192.168.0.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site A Internet FAI"

Site B :
routage du sous-réseau local 192.168.4.0/24 vers sous-réseau 192.168.0.0/24 en passant par passerelle "Routeur site B VPN FAI" (192.168.4.YYY)
routage du sous-réseau local 192.168.4.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site B Internet FAI"

J'ai essayé d'utiliser les routes statiques (avec ou sans routes de retour) et le routage par régle de filtrage.
La dernière solution me permet de voir du trafic mais le lien MPLS...

Voir la suite
Résolue

ipsec site à site

Posée par Fighter 777 dans Administration

Bonjour,

 

je tente tant bien que mal d'établir une connexion ipsec d'un site A a un site B

 

j'ai bien paramétré les configurations ipsec mais je n'ai strictement aucun trafic qui active la connexion...

j'ai essayer de suivre la doc :
https://documentation.stormshield.eu/SNS_v1/fr/default.htm?turl=Documents%2Fconfigurationdusiteprincipal.htm

Cela parle uniquement de la configuration de la connexion ipsec et des règles de filtrages
et aucunement d'eventuelles règles de routage ou de NAT.

 

Ducoup est-ce normal ou le fais d'ajouter une connexion ipsec ajoute par défaut les règles de routage ?

 

Cordialement

Non résolue

Chrome 67 NET::ERR_CERT_COMMON_NAME_INVALID

Posée par Siegfried M. dans Administration

Bonjour,

 

Avec le filtrage SSL (authentification transparente SPNEGO) je recontre un problème sur Chrome 67:

NET::ERR_CERT_COMMON_NAME_INVALID

Savez vous comment solutionner le problème?

Je recontre également un souci sur IE 11 sur mes serveurs Citrix en 2012 R2, il doit y avoir un problème de cookie. Si quelqu'un a une piste?

Merci beaucoup.

Siegfried.

Non résolue

Problèmes pour paramétrer un pare-feu StormShield SN210

Posée par Elodie Keusseyan dans Administration

Bonjour à tous, 

Etant stagiaire dans un service informatique, j'ai pas mal de notions dans le domaine, mais parfois la mise en pratique s'avère toutefois complexe pour une débutant dans la pratique comme moi... c'est pourquoi je débarque sur ce forum, et fais appel à vous.

Je dois paramétrer un pare-feu StormShield SN210, et ce sans marche à suivre ni manuel d'utilisation.

J'en ai déjà paramétré dans le passé, via port série. Hors là, il n'y en a pas, j'ai un port console (mais ne sais pas trop si c'est comparable, à vrai dire je n'y ai pas encore touché), ainsi qu'un port RJ WAN, et 7 ports LAN. 

J'ai l'adresse IP du pare-feu à changer et les identifiants PPPoE à préconfigurer. 

J'ai donc suivi la procédure habituelle, le port LAN branché à mon PC, le WAN sur le réseau,  me connectant sur l'IP du pare-feu via mon navigateur, etc.. 

J'ai réussi à tout configurer me semble-t-il, mais déjà quelque chose me taraude : tous les ports se sont mis...

Voir la suite
Non résolue

Client VPN Stormshield (ou The greenbow) derrirere un Proxy

Posée par Gilles Salanie dans Administration

Bonjour à tous,

J'utilise une appliance Stormshield SN300 pour implementer un VPN IPSEC. Je souhaite m'y connecter via un client Windows Stormshield derriere le Proxy de ma boite, mais impossible de trouver dans la doc ou dans les menus du client où saisir les parametres de proxy (IP, Port, user, pass). J'ai testé le client The green bow (la source du client Stormshield) mais sans plus de succes. Le dossier d'install du client contient un fichier tgbvpn.conf mais celui-ci est chiffré... Auriez vous une idée ?

Merci d'avance pour votre aide

Gilles

Résolue

modif ip via edit config-card

Posée par Francois Netherlands dans Administration

bonjour,

j'edit la config-card d'une de mes appliance ARKOON

suite au REBOOT, ainsi que de l'ARRET - MARCHE mon IFCONFIG n' a pas ete mise à jour

j' ai essayé la commande : etc/init.d/Firewall restart sans succes  !!

je crois savoir qu' une commande : restart configcard /network existe mais je ne la trouve pas !!

merci d'avance

Résolue

Stormshield IPsec nomade clés partagées

Posée par Fighter 777 dans Administration

Bonjour j'ai un petit soucis pour connecter mon client à un serveur sn510 en utilisant les clés partagées.

 

je n'ai pas de problème avec le certificat et j'arrive à me connecter (partage de connexion internet, accès réseau interne).

 

Dans le tableau de bord, j'ai "utilisateur refusé dans la négociation ipsec", donc il trouve bien l'email de la clé partagée mais pour une raison quelconque, refuse de l'autoriser :S

 

Quelqu'un aurait-il une solution ?

 

Au passage, je n'arrive pas à faire passer le flux ipsec dans le proxy ssl, j'ai systématiquement un site injoignable.

 

Version sn510 : 3.5.1
Version client : 6.4

 

Merci d'avance

Résolue

Arkoon - Cluster HA P1206 v6.0/3

Posée par Jpperget dans Administration

Bonjour,

Je rencontre un soucis sur un cluster AK P1206, depuis quelques temps, j'ai remarqué que sur le manager (via un AMC) l'AK2 apparaissait déconnecté.
Sur le monitoring, les 2 AK sont vus sur toutes les interfaces

J'ai effectué différents tests basics (ping, tcpdump...) qui n'ont rien donné

AK2 (eth0) ne joint pas l'AK1
AMC ne joint pas l'AK2 (eth0)

nous avons redémarré AK2, puis on s'apercoit que l'heure était revenu en défaut (Aout 2011) et d'autres problèmes (résolution DNS, ping ko...)
l'heure a été corrigé via minarconf

AMC vers AK2 : test ICMP ko mais visible au niveau ARP

J'ai l'impression qu'il ne communique pas correctement sur l'interface avec l'AMC et l'AK1, pourtant il y a du trafic sur cette interface sur l'AK2
Il est également impossible de s'y connecter en SSH, j'ai pu m'y connecter via une autre interface

Actuellement sur l'AK2, j'ai ces logs

Jun 27 12:31:38 ak2 ntpd[16108]: kernel time sync status 0040
Jun 27 12:31:41 ak2 MGT[16035]: cannot join peer:...

Voir la suite
Non résolue

sur SN510 equivalence entre igbXX et ethernetXX

Posée par Laurent Grube dans Administration

bonjour j'ai une question concernant le nommage de chacun des ports.

sur la console d'administration les interfaces sont nommées : EthernetXX et en SNMP elles sont nommées igbXX

 

je voudrais savoir la correspondance.

 

merci pour votre aide.

Résolue

SN300 - Problème de règles pour un modem

Posée par Joffrey B dans Administration

Bonjour, 

J'ai un modem OVH technicolor actuellement configuré en mode routeur sur une interface de mon SN300. Cet accès est fonctionnelle.

Je souhaite passer ce modem en mode bridge pour faire pointer l'IP public directement sur le stormshield. Mai j'ai quelques problèmes de configuration du fait que je n'ai aucun accès internet en bridge.

La démarche que j'ai adoptée est la suivante : 

J'ai modifié l'interface en spécifiant l'adresse IP public de mon modem OVH et j'ai créé un modem PPOE avec les informations de connexion rattachées à cette interface.

J'ai ensuite créé une règle NAT qui dit : 

Trafic original : Network_Internals / Internet sur interface WAN3 (Interface sur laquelle mon modem est branché) / Any 

Trafic après translation : Firewall_Wan3 (ip public soit l'ip de mon interface ) / ephemeral_fw / Any

 

Je ne vois pas trop ce que j'ai raté. Pourriez-vous m'aiguiller un peu s'il vous plaît ? 

Je vous remercie d'avance et vous souhaite une bonne fin...

Voir la suite
Non résolue

Problème de configuration NETASQ U70

Posée par Easys dans Administration

Bonjour,

Je me déméne depuis pret de 3 semaines pour configurer un NETASQ U70, je n'arrive pas à bien le configurer. 

Quelqu'un pourai m'aidait SVP please.

Je m'explique j’ai un NETASQ relié à deux ABO un ADSL et l'autre 4G et j'ai deux formes WIFI connecter. 

J'ai suivi un tuto NETASQ qui est expliqué comment faire un load Balancing entre deux connexions. 

https:/www.youtubecom/watch? v=clayprqse_s 

J'ai configuré le NAT et le filtrage avec comme test tous passe sans bloquer quel ou tels ports. Là j'arrive à faire des pings d'Ip, et sur un navigateur web je voie un site par son Ip. 

Mais quand je veux taper google.com ou même fair un ping de domaine là rien ne fonctionne, je comprends pas pour quoi. 

Pouvez-vous m'aider SVP.

Non résolue

Dépassement de capacité dans un attribut HTML

Posée par Joffrey B dans Administration

Bonjour,

Je suis actuellement en train de mettre en place des règles de filtrage permettant de filtrer le traffic https. Toutefois je rencontre quelques problèmes notamment au niveau du twitter sur la page de login où l'alarme "Dépassement de capacité dans un attribut HTML" remonte. Il m'est impossible de siasir le mot de passe de mon compte twitter. 

Selon-vous, est-il nécéssaire d'autoriser la règle "Dépassement de capacité dans un attribut HTML (Contexte:id --> HTTP:303)" ou est-ce qu'il y a quelque chose que j'ai loupé ? 

Je vous remercie d'avance et vous souhaite une bonne journée.

Cordialement.

Résolue

Portail Admin Web planté

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

Je rencontre un petit souci sur un cluster SN700 en firmware 3.1.2

Lorsque je me log au portail d'administration, le tableau de bord ne charge pas et j'obtiens une bannière qui me dit que l'application de répond plus avec deux options :

Patienter 15s ou retour au tableau de bord

seulement aucune des 2 options n'aboutie et je ne peux donc plus avoir accès au portail d'aministration de mon clutster ce qui est très embetant.

j'ai toujours accès en SSH mais je ne connais pas les lignes de commandes pour basculer d'un firewall vers un autre.

en espérant que l'un d'entre vous pourra m'aider et sans provoquer une interruption de service

merci par avance

Stephane

Résolue

Certificat admin via une IGC

Posée par Guillaume V dans Administration

Bonjour, je possède un parc de plusieurs d'Arkoon. Actuellement un de mes Arkoon et configuré comme AC et m'a permi de générer les certificats firewall et le certificat admin des tous mes Appliances. Est il possible d'utiliser une IGC pour générer les certificats admin et FireWall ? Et ainsi eviter d'avoir un Arkoon comme AC ? Merci

Messages d'alerte